Ransomware Akira para Linux mira em servidores VMware ESXi

VMware Workstation Pro grátis para uso no Linux e Windows

A operação de ransomware Akira está usando um criptografador Linux para criptografar máquinas virtuais VMware ESXi em ataques de dupla extorsão contra empresas em todo o mundo. Esse ransomware surgiu pela primeira vez em março de 2023, visando sistemas Windows em vários setores, incluindo educação, finanças, imóveis, manufatura e consultoria.

Ransomware Akira atacando servidores VMware ESXi Linux

Como outras gangues de ransomware voltadas para empresas, os agentes de ameaças roubam dados de redes violadas e criptografam arquivos para realizar dupla extorsão nas vítimas, exigindo pagamentos que chegam a vários milhões de dólares. Desde o lançamento, a operação de ransomware fez mais de 30 vítimas apenas nos Estados Unidos, com dois picos de atividade distintos em envios de ID Ransomware no final de maio e no presente.

ransomware-akira-para-linux-mira-em-servidores-vmware-esxi
Imagem: Bleeping Computer

A versão Linux do Akira foi descoberta pela analista de malware rivitna, que compartilhou uma amostra do novo criptografador no VirusTotal (Via: Bleeping Computer) na semana passada. A análise do BleepingComputer do criptografador Linux mostra que ele tem um nome de projeto ‘Esxi_Build_Esxi6’, indicando que os agentes de ameaças o projetaram especificamente para atingir os servidores VMware ESXi. Por exemplo, um dos arquivos de código-fonte do projeto é  /mnt/d/vcprojects/Esxi_Build_Esxi6/argh.h.

Nos últimos anos, as gangues de ransomware criaram cada vez mais criptografadores Linux personalizados para criptografar servidores VMware ESXi à medida que a empresa passou a usar máquinas virtuais para servidores para melhorar o gerenciamento de dispositivos e o uso eficiente de recursos.

Ao direcionar os servidores ESXi, um agente de ameaça pode criptografar muitos servidores em execução como máquinas virtuais em uma única execução do criptografador de ransomware. No entanto, ao contrário de outros criptografadores VMware ESXi analisados pelo BleepingComputer, os criptografadores do Akira não contêm muitos recursos avançados, como o desligamento automático de máquinas virtuais antes de criptografar arquivos usando o comando esxcli.

Com isso dito, o binário suporta alguns argumentos de linha de comando que permitem que um invasor personalize seus ataques:

  • -p –encryption_path (caminhos de arquivo/pasta de destino)
  • -s –share_file (caminho da unidade de rede de destino)
  • – n –encryption_percent (porcentagem de criptografia)
  • –fork (cria um processo filho para criptografia)

O parâmetro -n é particularmente notável, pois permite que os invasores definam quantos dados são criptografados em cada arquivo. Quanto menor essa configuração, mais rápida a criptografia, mas maior a probabilidade de as vítimas conseguirem recuperar seus arquivos originais sem pagar resgate.

Ao criptografar arquivos, o criptografador Linux Akira terá como alvo as seguintes extensões:

ransomware-akira-para-linux-mira-em-servidores-vmware-esxi
Imagem: Bleeping Computer